Компьютерщик на все руки: Единый вход в Office 365: простое руководство по установке

Установка, конфигурирование и активирование единого входа в Office 365 — длительный, но стоящий того процесс.

Грэг Шилдс

Office 365 может стать вашим лучшим другом. Можно освободиться от большого объема обязанностей по администрированию. Приобретите месячную подписку, и большую часть головной боли, связанной с упралением Exchange, SharePoint и Lync, автоматически возьмут на себя другие.

Однако многие почитатели Office 365 становятся в тупик, когда нужно реализовать функциональность единого входа (SSO). Можно загрузить Помощник по входу в Microsoft Online Services (MOS SIA) для настройки проверки подлинности для клиентских приложений, но это не настоящий SSO. Он просто объединяет два пароля, которые нужны всем пользователям: один для Active Directory и другой для Office 365.

Консолидация этих двух паролей в один требует реализации служб федерации Active Directory (ADFS), что может оказаться исключительно сложным. Почитайте соответствующее руководство на сайте Microsoft, и вы быстро потеряетесь в запутанных инструкциях. В данном случае Microsoft предоставила слишком много информации. В результате единый вход в Office 365 с ADFS может показаться не стоящим усилий, которые на него придется потратить, но это не так.

Если вы относитесь к тем, кто затрудняется в реализации единого входа Office 365, считайте эту статью упрощенным руководством по установке. Здесь не рассказывается о всех возможных ситуациях, но это руководство годится для несложных сред средних и мелких предприятий.

Шаг 1. Подготовка домена Active Directory

Для Office 365 SSO требуется доменное имя, которое разрешается в Интернете. Оно будет использоваться в качестве суффикса всех имен пользователей. Но не следует унывать, если доменное имя вашей Active Directory не отвечает этому требованию. В большинстве случаев это так. Можно выйти из этого положения, назначив пользователям альтернативное основное имя (UPN), которое соответствует любому имен домена, которым вы владеете.

Допустим имя вашего домена contoso.com, а имя расположенного за брандмауэром домен Active Directory домена — contoso.local. Домен contoso.local не разрешается размещенными в Интернете серверами, поэтому его нельзя использовать его с DNS-серверами Office 365. При этом можно организовать федерацию, в которой UPN каждого пользователя сопоставляется публично-разрешаемому доменному имени и пользователи могут входить в систему по имени <имя_пользователя>@contoso.com.

Хотя UPN пользователей и может выглядеть, как адрес электронной почты, он не имеет ничего общего с протоколом SMTP или SIP (Session Initiation Protocol). Это изменение просто обеспечивает сопоставление учетных записей пользователей в Active Directory внешним адресам, которые понятны Office 365.

Откройте оснастку Active Directory Domains and Trusts (Active Directory — домены и доверие) и посмотрите свойства узла верхнего уровня.В поле Alternative UPN suffixes (Дополнительные UPN-суффиксы) введите имя своего общедоступного домена и щелкните Add (Добавить). После этого откройте оснастку Active Directory Users and Computers (Active Directory — пользователи и компьютеры) и просмотрите свойства учетной записи пользователя. На вкладке Account (Учетная запись) в качестве User logon name (Имя входа пользователя) задайте имя публичного домена. Выполните это для каждого пользователя Office 365. Через несколько минут они смогут использовать свое имя пользователя Office 365.

Шаг 2. Подготовка сервера и установка ADFS

Службы ADFS можно установить на контроллер домена или другой сервер. Но прежде надо выполнить определенное конфигурирование. Далее предполагается, что вы устанавливаете Windows Server 2008 R2.

Средствами диспетчера сервера установит роль IIS и Microsoft .NET Framework 3.5.1. Затем купите в публичном центре сертификации сертификат проверки подлинности сервера в и установите сертификат. Позаботьтесь, чтобы в субъекте сертификат было указано полное доменное имя вашего сервера. Отройте консоль IIS и импортируйте сертификат в веб-узел по умолчанию.

Далее загрузите ADFS 2.0. Примите все параметры по умолчанию, а также укажите сервер федерации. Установщик должен автоматически установить все необходимые исправления, но ADFS 2.0 Update Rollup 2 может потребоваться установить вручную.

После установки ADFS и пакетов исправлений в разделе Administrative Tools откройте консоль ADFS 2.0 Management. На странице Overview запустите мастер ADFS Federation Server Configuration. Создайте новую службу федерации в автономном режиме и убедитесь, что она использует SSL-сертификат, который вы импортировали в IIS в веб-узел по умолчанию. Мастера также предложит указать учетную запись службы. Нужно задать учетную запись Active Directory с постоянным паролем.

По завершении работы мастера вы увидите сообщение, что конфигурирование не завершено и нужно добавить доверенную зависимую сторону. Мы этим займемся чуть позже, поэтому сейчас можно спокойно закрыть это сообщение.

Проверить настройку можно, перейдя в браузере по адресу https://<полное_имя_сервера>/FederationMetadata/2007-06/FederationMetadata.xml. Закройте все сообщения об ошибках сертификата — мы просто проверяем, что IIS успешно предоставляет XML-содержимое.

Шаг 3. Добавление основного имени домена в Office 365

В предыдущем примере использовалось общедоступное разрешаемое в Интернете доменное имя contoso.com в внутренним именем contoso.local службы Active Directory. Ваши имена могут отличаться. Имя Active Directory не обязано совпадать с внешним доменным именем, которое используется для электронной почты, но одинаковые имена сильно облегчают задачу запоминания адресов.

Если ваше внешнее доменное имя не привязано к Office 365, это можно сделать в портале Microsoft Online Services Portal. В административной консоли щелкните Domains, а затем выберите Add a domain. Откроется мастер, которые спросит ваше доменное имя, а затем передоложит два варианта удостоверения того, что имя принадлежит вам: нужно будет добавить запись TXT или MX на публичный DNS-сервер, который обслуживает ваш домен.

Распространение обновления может занять от 15 минут до 72 часов, поэтому процесс подтверждения может задержаться на какое-то время. Проверка удостоверяет для Office 365, что вам принадлежит доменное имя, на основании которого ваши клиенты будут проходить проверку подлинности. Для работы федерации внутри этого домена никаких серверов устанавливать не нужно. Все, что нужно для завершения этого шага, — сам домен, который можно разрешать в Интернете.

Шаг 4. Подключение ADFS к Office 365

Цель следующего шага — сообщить Office 365, что вы планируете использовать федеративную проверку подлинности пользователей. В этом процессе проверка подлинности пользователей доверяется внутреннему домену Active Directory, а Office 365 просто доверяет ответу вашего домена о результатах проверки подлинности. Это волшебство федерации — никакими паролями ADFS и Office 365 не обмениваются.

Для организации связи нужно выполнить несколько команд Windows PowerShell. Но прежде нужно установить модуль Microsoft Online Services и создать подключение к Office 365. Подробнее о подключении см. выпуск колонки в февральском номере. После создания подключения выполните следующие две команды Windows PowerShell. Первая создает контекст, который подключает к ADFS, а вторая переключает домен из режима стандартной проверки подлинности в режим единого входа:

Set-MsolAdfscontext -Computer <полное доменное имя сервера AD FS> Convert-MsolDomainToFederated -DomainName <доменное имя>

В процессе своей работы ваш сервер ADFS будет автоматически регулярно генерировать, использовать и выводить из обращения самоподписанные сертификаты для подписания токенов. Office 365 должен знать, когда изменяются эти сертификаты. Для синхронизации надо загрузить Microsoft Office 365 Federation Metadata Update Automation Installation Tool. Это средство поставляется как сценарий Windows PowerShell, который выполняется на вашем сервере ADFS. Выполните сценарий и предоставьте запрашиваемые им административные учетные данные Active Directory и Office 365 для организации синхронизации.

Шаг 5. Синхронизация информации учетных записей Active Directory с Office 365

Федерация и избавляет от необходимости пересылать пароли между Active Directory и Office 365, но остается потребность синхронизации пользовательских учетных записей в обоих системах. Эту синхронизацию можно выполнить вручную, добавив пользователей Office 365, у которых есть соответствующие пользовательские учетные записи в Active Directory.

Автоматизировать процесс можно также с применением средства Microsoft Directory Synchronization. Оно автоматически реплицирует определенную информацию пользовательских учетных записей Active Directory, в числе которой телефонные номера, адреса и данные, обычно хранящиеся в глобальном списке адресов Exchange, в учетные записи Office 365. Однако в отличие от ADFS средство Directory Synchronization Tool нельзя разместить на контроллере домена или на сервере ADFS.

Прежде надо активировать синхронизацию с помощью совершенно другого средства — Microsoft Office 365 Deployment Readiness. Запустите это средствои перейдитек Admin/Users/Active Directory synchronization. На странице Set up and manage Active Directory synchronization щелкнитеActivate в разделе Activate Active Directory synchronization.

После этого надо установить и сконфигурировать средство Directory Synchronization. По завершении установки выберите Start Configuration Wizard now. Вам будет предложено предоставить учетные данные служб Microsoft Online Services, а также пользовательской учетной записи Active Directory с правами администратора предприятия (Enterprise Admin). На последней странице мастера выберите вариант синхронизации каталогов, чтобы запустить синхронизацию.

Синхронизация каталогов по умолчанию происходит каждые три часа, но вы можете запустить ее принудительно, повторно запустив мастер, указав учетные данные и снова выбрав Synchronize directories now на последней странице. Это средство также предоставляет командлет Windows PowerShell по имени Start-OnlineCoexistenceSync, которые выполняет эту же операцию.

Шаг 6. Корректировка параметров Internet Explorer

Office 365 предоставляет много интефейсов — на основе как веб, так и «толстого» клиента. Можно воспользоваться одним не очень известным приемом для расширения поддержки единого входа SSO — добавить URL-адрес службы федерации сервера ADFS (обычно этот адрес имеет вид https://<полное доменное имя сервера ADFS>) в зону местной интрасети Internet Explorer на всех клиентских машинах. Для распространения этого параметра на много машин можно задействовать групповую политику.

Шаг 7. Включение пользователей, проверка синхронизации и федерации

Без дополнительных усилий по конфигурированию средство Directory Synchronization выполнит репликацию всей информации пользовательских учетных записей в Office 365. Пользовательким учетным записям, которые будут использовать Office 365 нужно назначить лицензии на этот пакет. Это правильный шаг, потому что позволяет назначить лицензии на использование, как требуется.

Неплохо также проверить синхронизацию каталогов и единый вход. Для проверки синхронизации просто войдите на портал Microsoft Online Services и, проверив несколько пользователей, убедитесь, что их информация обновляется. Проверить федерацию и того проще. Microsoft создала веб-сайт, который позволяет автоматически проверить правильность конфигурации федерации, а в случае неполадок предоставляет рекомендации по их устранению.

Иногда неполадки проверки подлинности очень сложно расследовать, особенно когда они происходят в нескольких слабо связанных системах. Для тех, кто оказался в полном тупике, Microsoft предоставляет отличное руководство по устранению неполадок в различных ситуациях.

Единый вход в Office 365, упрощенный вариант

Даже эти краткие инструкции по реализации единого входа в Office 365 SSO чуть тяжеловесны. Процесс нетривиален, но не настолько сложен, как это описано в документации Microsoft. В таких обстоятельствах информацию, которой недостает в этой статье, вы найдете в документации Microsoft.

ADFS поддерживает дополнительную функциональность, о которой здесь не упоминалось. Речь идет о функциях напоминающих единый входя для интернет-клиентов. Эту функциональность можно обеспечить, развернув прокси ADFS в периметре сети. Серверы ADFS можно также объединять в кластеры, если нужна высокая доступность. Есть также другие варианты настройки синхронизации пользователей и предоставления пользователям других функций. Подробнее об описанных здесь и других архитектурах единого входа Office 365 на сайте.

Грэг Шилдс (Greg Shields) — носит звание MVP и является партнером в компании Concentrated Technology. Другие советы и подсказки Грэга из рубрики «Компьютерщик на все руки» вы найдете на сайте ConcentratedTech.com.